Cobham Solutions | Logiciel de conformité et performance en PAIE, DSN et RH

contact@cobham-solutions.com
0805 030 243
Menu
Tous les articles (699)
DSN (177)
Paie (302)
RH (134)
Rupture de contrat (86)

Droit du travail et protection des données : comprendre les obligations réelles des entreprises

Depuis l’entrée en application du RGPD, toutes les entreprises françaises ont dû revoir leur manière de gérer les données personnelles, en particulier celles de leurs salariés. Le droit du travail est devenu un terrain sensible, où la moindre erreur de traitement de données peut déclencher un contrôle de la CNIL et des sanctions financières très importantes avec en prime un risque pénal allant jusqu’à 5 ans d’emprisonnement pour l’employeur.

Dans les services RH, comptabilité ou juridique, chaque acteur manipule des informations personnelles. Le problème, c’est que beaucoup continuent de fonctionner comme avant, sans intégrer les réflexes imposés par la réglementation. Résultat : des risques juridiques évitables et une exposition permanente aux contrôles.

Quelles sont les situations concrètes que rencontrent les entreprises, et que doivent-elles faire pour se mettre en conformité ?

Voir également  Les erreurs de conformité RGPD en entreprise

Informer les salariés sur le traitement de leurs données

L’employeur est responsable du traitement des données de ses collaborateurs. À ce titre, il doit informer chaque salarié de manière complète, conformément aux articles 13 et 14 du RGPD. Cette transparence n’est pas une option : c’est un prérequis incontournable pour toute entreprise.

Beaucoup se contentent d’intégrer un paragraphe dans le contrat de travail. Sur le papier, cela paraît simple. Dans la pratique, c’est rarement optimal.

Comment fournir une information conforme et lisible ?

Le contrat de travail peut servir de premier niveau d’information, mais il ne doit pas contenir la totalité de la politique de confidentialité. Si vous insérez l’intégralité du contenu dans le contrat, chaque mise à jour exigera un avenant, ce qui ralentit tout, rigidifie les process et surcharge les documents, au détriment de la lisibilité.

La CNIL comme le CEPD encouragent une information structurée en plusieurs niveaux, avec un premier message essentiel dans le contrat et un renvoi clair vers la politique de confidentialité complète. Cette méthode garantit une meilleure compréhension et une réelle transparence pour le salarié.

Une entreprise peut parfaitement renoncer à intégrer une clause spécifique dans le contrat. En revanche, elle doit impérativement garder une preuve que le salarié a bien été informé : envoi par e-mail avec accusé de réception, remise papier contre décharge ou accès intranet avec traçabilité d’ouverture.

Dans les faits, la meilleure pratique consiste à :

  • mentionner dans le contrat l’existence du traitement et renvoyer vers le document principal ;
  • centraliser toutes les informations à un seul endroit : intranet ou annexe non contractuelle ;
  • actualiser facilement la politique sans modifier les contrats.

La politique de confidentialité doit-elle être annexée au règlement intérieur ?

Certaines entreprises imaginent que la politique de confidentialité doit suivre le même régime que la charte informatique. Ce n’est pas le cas. Ce document étant purement informatif, il n’a pas vocation à être annexé au règlement intérieur, ce qui éviterait d’alourdir une procédure déjà chronophage en cas de modification (consultation CSE, dépôt, transmission à l’inspection du travail…).

Conserver la politique en dehors du règlement intérieur permet de la mettre à jour dès que nécessaire, sans délai administratif.

Opérations corporate, due diligences et transferts de salariés

Dans les opérations d’acquisition, les audits préalables incluent systématiquement un volet social. Les data-rooms contiennent alors une grande quantité de documents : modèles de contrats de travail, accords collectifs, PV du CSE, etc. Ces éléments doivent être anonymisés avant toute consultation.

Les noms, prénoms, numéros de sécurité sociale, signatures ou encore identités des signataires ne doivent jamais apparaître en clair dans une data-room accessible à des tiers.

Encadrement contractuel des traitements dans les opérations de cession

Dans un asset deal, les actes juridiques (cession de fonds, convention de successeur, business purchase agreement) doivent cadrer précisément les obligations :

  • garanties offertes par le cédant sur la conformité RGPD ;
  • engagements réciproques sur les traitements à venir ;
  • moyens mis en place pour assurer le respect des obligations légales.

Même la liste des salariés transférés, souvent annexée à ces contrats, doit être anonymisée pour éviter toute fuite de données.

Information obligatoire du salarié en cas de transfert

Lorsque le contrat de travail bascule vers un nouvel employeur (article L.1224-1 du Code du travail ou transfert volontaire via accord tripartite), l’entreprise doit informer le salarié du transfert de ses données vers la nouvelle entité.

Le courrier ou la convention doit contenir :

  • l’identité du nouveau responsable de traitement ;
  • la finalité du transfert et des traitements (gestion du personnel, paie, RH) ;
  • les destinataires internes des données ;
  • les catégories de données transférées ;
  • la durée de conservation ;
  • l’accès possible par des prestataires extérieurs (paie, informatique) ;
  • les droits du salarié (accès, rectification, effacement, etc.) ;
  • le point de contact pour exercer ces droits.

Un oubli ou une information trop vague peut suffire à engager la responsabilité de l’employeur.

Transmission de documents : quand le RGPD permet-il de dire non ?

Dans la pratique, les entreprises sont régulièrement sollicitées par des tiers pour fournir des documents contenant des données personnelles : expert du CSE, avocat adverse, ancien salarié, etc. Et elles aimeraient souvent limiter ce qu’elles transmettent. Le RGPD impose ici une analyse rigoureuse.

Tout tiers ne peut pas accéder librement aux données personnelles d’un salarié. Seuls les « tiers autorisés » disposent d’un droit d’accès légitime, comme l’administration fiscale.

Comment évaluer une demande de transmission ?

Avant toute communication, l’entreprise doit vérifier trois éléments :

  1. l’existence d’un fondement légal réel ;
  2. la qualité du demandeur et la pertinence des informations visées ;
  3. les modalités sécurisées de transmission ou d’accès aux données.

Le RGPD ne permet pas à l’employeur de s’opposer à la communication d’un document à un expert CSE sous prétexte de confidentialité. En revanche, il impose de contrôler le périmètre exact des données transmises et d’éviter toute divulgation excessive.

Qu’en est-il des demandes judiciaires ?

Les autorités judiciaires sont également considérées comme tiers autorisés. Ainsi, dans un contentieux, le RGPD ne peut pas empêcher la transmission d’éléments contenant des données personnelles, notamment dans les litiges relatifs à la discrimination où les informations salariales de collègues peuvent être transmises même contre leur volonté.

Toutefois, le RGPD peut servir à contester une demande trop étendue, non proportionnée ou sans lien direct avec l’objet du litige.

Le RGPD modifie profondément les réflexes en droit du travail

La protection des données est devenue un sujet transversal, qui touche à la fois le droit du travail, le droit social, la paie, la gouvernance interne et même les opérations de fusion-acquisition. L’entreprise doit désormais anticiper, tracer, documenter et sécuriser chaque traitement, faute de quoi elle s’expose à des sanctions financières lourdes et à une responsabilité pénale directe.

 

Qui sommes-nous ?
Notre démarche
Nos solutions
Lecteur DSN by Cobham
DSN by Cobham
Paie by Cobham
RH by Cobham
Rupture by Cobham
Actualités
Contactez-nous
Se connecter
Rupture by Cobham
RH by Cobham
Lecteur DSN by Cobham

Demandez une démonstration personnalisée

Un de nos experts vous recontactera dans la journée pour vous présenter nos solutions.

Une fois que vous aurez confirmé votre choix un mail vous sera envoyé avec une invitation à enregistrer dans votre agenda.